サイドローディングについて語るとき、私たちが語っていること | F-Droid

 (f-droid.org)
1 ポイント 投稿者 GN⁺ 2025-10-29 | 1件のコメント | WhatsAppで共有
  • Googleの新しい開発者登録ポリシーが、Androidユーザーの端末の自由とソフトウェア選択権を制限しているとの批判が提起
  • Googleは「サイドローディングはなくならない」と主張するが、実際にはすべてのアプリ配布がGoogleの承認手続きを経なければならない構造へ変更
  • このポリシーは、ユーザーが自分でアプリをインストールしたり、F-Droidのようなオープンソースリポジトリを利用したりする自由を事実上奪うもの
  • Googleはセキュリティ強化を名目に掲げているが、Play Store内の悪意あるアプリ事例が繰り返されており、信頼性をめぐる論争が続く
  • 世界中のAndroidエコシステムの開放性とデジタル主権を守るための社会的・政策的対応の必要性を強調

Googleの「サイドローディングはなくならない」という主張への反論

  • GoogleはAndroid Developers Roundtableの動画とブログを通じて「サイドローディングはAndroidの中核であり、なくならない」と明記したが、F-Droid側はこれは事実ではないと主張
    • 新しい**開発者認証命令(developer verification decree)**が、個人が望むソフトウェアを自由にインストールする権利を実質的に終わらせる
  • 「サイドローディング(sideloading)」という用語自体が人為的に作られたもので、本来は単なる**「インストール(installing)」**行為にすぎないと説明
    • Google Play StoreやApple App Storeのような仲介マーケットプレイスを経由せず直接インストールする行為が、歪められて否定的に認識されるようになったとの指摘
  • Wikipediaの定義によれば、サイドローディングとは「ベンダーが承認していないウェブソースからアプリを転送する行為」であり、Googleがすべてのソースの承認を要求するなら、それはもはやサイドローディングではない
    • 開発者はGoogleに登録料を払い、身元証明と署名鍵情報を提出し、Googleの承認を待たなければならない

ユーザー、開発者、国家の権利への影響

  • ユーザーはAndroid端末を購入する際に**「オープンプラットフォーム」という約束を信じていたが、今後のアップデートによって不可逆的な制限**が強制される予定
    • Googleの判断によって、どのソフトウェアを信頼できるかが決まる構造へ移行
    広告
  • 開発者はもはや自由にアプリを作って直接配布できず、Googleの事前承認を受けなければならない
    • Androidの開放性という中核的価値がiPhoneとの差別化要素だったが、いまやその原則が廃棄される状況
  • 国家レベルでも、市民のデジタル主権が企業に従属する危険がある
    • Googleには過去に権威主義的な政府の要請に従って合法アプリを削除した前例があり、公共ソフトウェア運用にも不安要因となる
  • このポリシーはGoogle Play Storeだけでなく、すべてのAndroid Certified端末に適用され、F-DroidやEpic Games Storeのような代替ストアのユーザーも同じ制約を受けることになる

Googleが主張する「より安全な環境」の虚構性

  • Googleは「インターネット上のサイドローディング元で見つかったマルウェアは、Play Storeより50倍多い」という独自分析結果を引用してポリシーを正当化
    • しかしF-Droidはその分析資料を見たことがなく、根拠のない数値だと批判
  • 最近、224件の悪意あるアプリが広告詐欺キャンペーンによりPlay Storeから削除された事例に触れ、Googleは外部コミュニティを非難するより自社のセキュリティ体制改善に集中すべきだと指摘
  • 別の報道によれば、Play Storeで1,900万回以上ダウンロードされた悪意あるアプリが発見されており、単一企業の判断だけでマルウェアを識別するのは信頼しがたいと主張
    • Googleの商業的利害がユーザー保護より優先されうるとの懸念を提起
    広告

何ができるか

  • Googleの過度なポリシー統制への批判は以前からあったが、最近になってさらに加速
    • 2024年にはChromeのManifest v3導入で広告ブロック機能を弱体化させ、
    • 2025年には**Android Open Source Project(AOSP)**開発を非公開化し、今回の認証インフラを秘密裏に構築
  • 開発者認証制度は、F-Droidのような自由ソフトウェア配布プラットフォームと、Play Storeの商業的競合相手にとって実存的脅威として作用
    • ユーザー、開発者、報道機関、市民団体の反発は広がっているが、政策立案者の認識向上が依然として必要
  • 消費者はkeepandroidopen.orgを通じて代表機関への意見表明および開かれたAndroidエコシステム維持のための行動が可能
  • 開発者には現時点でGoogle開発者登録プログラムへの参加を推奨しない
    • F-Droidはこの強制的制度を明確に拒否すると宣言
  • 世界の人類の半数以上がAndroidスマートフォンを使っており、端末の所有権はGoogleではなくユーザーにある
    • ユーザーは誰を信頼し、どこからソフトウェアを入手するかを自ら決める権利を持つべきである

関連記事

1件のコメント

 
GN⁺ 2025-10-29
Hacker Newsのコメント

  • 投稿者です。多くのコメントの攻撃的な口調と、不誠実だという非難にはかなり驚きました
    ‘sideload’という用語の起源を詮索することは重要ではありません。この言葉を使う人たちは、たいてい何かハッカーっぽくて異常な行為のように感じさせようという意図があります
    Linux、Windows、macOSでは、‘sideload’ではなく単に‘install’と言います
    私は、自分のコンピューター、あるいは自分のポケットの中のコンピューターに、どんなソフトウェアでもインストールする権利があると信じています。これは最後まで守る信念です

    • このコミュニティにも権威主義的な統制を好む人たちがいます。彼らはAppleやGoogle Playが私たちを守ってくれると信じ、それを擁護すべきだと考えています
      こうした態度は、モバイル機器の閉鎖性のような話題でよく現れます。ただし、こういう人たちは一部の「声の大きい少数派」にすぎません
    • プロジェクトをいっそ完全にやめたほうがいいと思います。以前プライバシー系プロジェクトに貢献していましたが、YouTubeの「クリエイター」を傷つけると罵られてから悟りました。人々はGoogleに搾取されながらそれを楽しんでいるのです。自分の精神衛生のためにやめたら、時間がずっと増えました
    • F-Droidのほうが実際にはGoogle Play Storeより安全だと主張することもできるのではないでしょうか。Googleはsideloadingを「malware」の問題として扱いますが、実際にはPlay Storeのほうがより多くの悪質なアプリを広めてきたのかもしれません。むしろ小さな独立系アプリストアのほうが、よりうまく管理できる可能性もあります
    • 問題はもっと広がっています。今ではソフトウェアだけでなく、運動器具のようなハードウェアまでサブスクリプションモデルに縛られています。以前はハンドルで調整していた負荷を、今では月30ドルのサブスクなしでは使えません。1920年代の電球カルテルによる計画的陳腐化よりひどいです。市場がこういうものを支え続けているのは憂鬱ですが、独占構造が固定化するとそういうパターンが生まれます
    • 私も同じ立場です。あなたは一人ではないと伝えたいです

  • 論点をもっと高い次元に引き上げるべきです。‘sideloading’論争は二次的なものです。核心はデバイス所有権と取引の境界です
    私がデバイスを購入した瞬間に取引は終わるべきで、その後は私が100%のコントロール権を持つべきです。メーカーやOSの作り手は0%であるべきです

    • まず最初にやるべきなのはDMCAの改革です。今は、ユーザーが自分のデバイスを制御できるツールや情報を提供することさえ連邦法違反です
      EFFの関連記事を参照してください
      こうした法律は、企業が政府の力を借りて人々を脅せるようにしています。一方で、この種の条項をなくせば、消費者は自らlockpickを開発できます
    • とはいえ、こうした理想は現実的には不可能に見えます。結局、私たちは巨大テック企業に許可されたデバイスを賃借する世界へ向かっています。すべてのコード実行は許可された開発者だけが可能で、すべてのデータは監視されます。完全な中央集権化が来たあと、次に何が起きるのかが怖いです
    • 完全なソフトウェアがハードウェア上で動いてこそ、本当に自分のデバイスだと言えます。そうでなければ結局、それは「彼らのソフトウェアが入った私のデバイス」にすぎません
    • 「ではアップデートはどうするのか」という疑問が出るかもしれません。しかし重要なのは、ユーザーが望むときにだけアップデートを許可する自律性です

  • プラットフォームの振る舞いは症状にすぎず、根本問題ではありません

    1. 私のスマホは私のものであり、どんなアプリでもインストールできるべきです
    2. 公式ストアのような検証済みチャネルは、セキュリティ上有用です
      この二つがどちらも正しいなら、公式ストア以外からインストールするときに「自己責任でインストール」という警告ダイアログを出すだけで済みます。ほとんどのユーザーはどうせ公式ストアしか使わないでしょう
      しかしAppleとGoogleはアプリ内取引で手数料(vig) を取っているので、そうしません。プラットフォーム税をなくせば、sideloadの問題も消えます
    • 重要なのは「公式」ではなく「信頼できるチャネル」です。F-Droidはそうしたチャネルですが、Google Playは違います。Googleはむしろ、こうした信頼チャネルをなくそうとしています
    • Androidはすでに「自己責任でインストール」という警告ダイアログを表示します。Googleは今や、登録された開発者だけがアプリを配布できるようにしようとしているのです
    • 警告ダイアログはすでに存在しますが、人々はどうせクリックして先へ進みます。セキュリティエンジニアリングの現実は、ユーザーが警告を理解しないということです。単に「警告したから自分の責任ではない」という態度は、被害の回復に何の役にも立ちません
    • Androidのこの機能はすでに存在しており、今後なくなる予定です
    • 私もGoogle Play Storeを信頼していません

  • 私たちにroot権限すらない現実は狂っています。sideload制限は、そのディストピアの象徴にすぎません

    • 私はLineageOSを入れたPoco F3でrootを維持しています。しかし、ハードウェア認証が標準になれば、この自由も失われるのではないかと心配です。rootとsideloadが塞がれたら、Androidにはもう価値がありません
    • こうした統制の結果、AppleとGoogleはどんな技術やサービスが市場で成長できるかまで決めるようになります

  • iOSユーザーとして、Appleの閉鎖的な方針にうんざりしてAndroid端末を買い、PoCアプリを作ってきました。今でも複数の端末でF-Droid経由でアプリをインストールしています。これが塞がれたら、私の端末は役に立たなくなります

    • 今年iOSのSideStoreを見つけましたが、自動更新機能が素晴らしいです。iOSアプリを2つ自作して、毎日便利に使っています。Googleの新方針のおかげで、当分Androidに戻ることはなさそうです

  • 多くのコメントが、記事の核心ではなく言葉の意味に執着しています

    • F-Droidが記事内の‘coined’を‘popularized’に変えるだけで、HNは喜ぶだろうと冗談を言いたいです
    • HNではよくこういうことがあります。長文の中の単語ひとつにこだわって、木を見て森を見ないのです

  • Googleが本当にセキュリティを理由にこの方針を押し進めるなら、いっそsandboxユーザーアカウントを作って、その中で非公式アプリをインストールできるようにすればいいのです。しかし、そんなものを望むユーザーはごく少数なので、Googleは気にしないでしょう。私たちのような人間は、ただ中国製スマホを個人輸入して使えばいいのです

    • しかしブラジルのように輸入規制がある国では、認証されていないスマホを持ち込めません
    • 実際、sideload禁止の目的はセキュリティではなく、NewPipeやVancedのようなアプリを遮断することです
    • TermuxでADBを直接動かしてF-Droidアプリをインストールする迂回手段があるかもしれません。しかしGoogleは、こうした試みもすぐ塞ぐでしょう
    • どうせユーザーベースが小さすぎれば、開発者がアプリを作る理由もありません

  • Raymond Carverの話がまったく出てこなくて残念です
    彼の代表作を見ると、今のモバイルOSの状況がそれだけ暗鬱だと感じます。映画 Shortcuts もおすすめです

    • そうですね、少し話題から外れてはいましたが、Carverは素晴らしい作家です

  • ‘sideload’という言葉は、もともと何か隠れて行う危険な行為のように聞こえるよう意図して作られたものです
    以前はRapidshareやMegauploadのようなファイルホスティングサービスにも‘sideload’という機能があり、サーバーへ直接ファイルを移すという意味でした

  • macOSでは、インターネットからダウンロードしたアプリを実行するときに「このアプリを開きますか?」という警告を出すだけです。インストール自体を止めたりはしません。スマホでもそうあるべきです

    • しかし実際にはもっと複雑です。たとえば、私が作ったgolangバイナリを他人に送ると、macOSは「破損したアプリ」だと言って実行を止めます。非技術ユーザーを締め出すための設計だと思います
    • 今回のアップデートは、ユーザーがインストール可否を決める権限そのものをなくし、開発者が登録・支払いをしなければアプリをインストールできないようにする方向です。結局は閉鎖的なエコシステムへの誘導です
    • macOSは警告を出しますが、ユーザーには無視して実行できる選択権があります。iOSにはそれがなく、Googleもその方式に追随しようとしています
    • macOSはApp Store外のアプリを実行するたびに警告しますが、ユーザーが自分でビルドするか、quarantineフラグを削除すれば実行できます
    • brewのようなパッケージマネージャー経由でインストールすれば、こうした警告すら出ません